Các nhà nghiên cứu đã phát hiện malware cài sẵn trên 5 triệu smartphone Android trên toàn thế giới. Có thể nói đây là sự khởi đầu cho một chiến dịch phát triển malware trên quy mô lớn.

RottenSys là một malware cài sẵn trên hàng triệu smartphone mới được sản xuất bởi Honor, Huawei, Xiaomi, OPPO, Vivo, Samsung và GIONEE…và nó được ngụy trang dưới dạng một app có tên là ‘System Wi-Fi service’.

Tất cả những thiết bị bị ảnh hưởng đều được vận chuyển qua Tian Pai – nhà phân phối điện thoại di động ở Hangzhou, nhưng các nhà nghiên cứu không chắc rằng liệu công ty có trực tiếp tham gia vào chiến dịch này hay không.

Theo như nhóm đã phát hiện ra chiến dịch này là đội bảo mật di động Check Point thì phần mềm độc hại RottenSys không cung cấp bất kỳ dịch vụ nào liên quan đến an toàn Wi-Fi nhưng lại chiếm hầu như tất cả các quyền truy cập Android để cho phép các hoạt động độc hại của nó.

Các nhà nghiên cứu cho biết: “Theo các phát hiện của chúng tôi, phần mềm độc hại của RottenSys bắt đầu lan truyền vào tháng 9 năm 2016. Đến ngày 12 tháng 3 năm 2018, RottenSys đã nhiễm 4,964,460 thiết bị”.

Để tránh bị phát hiện, ứng dụng giả mạo System Wi-Fi service ban đầu không chứa thành phần độc hại và không bắt đầu bất kỳ hoạt động độc hại nào ngay lập tức.

Thay vào đó, RottenSys đã được thiết kế để liên lạc với các máy chủ điều khiển và kiểm soát để có được danh sách các thành phần chứa mã độc hại thực sự.

Sau đó, RottenSys tải xuống và cài đặt mỗi thành phần chứa mã độc sao cho phù hợp và sử dụng quyền “DOWNLOAD_WITHOUT_NOTIFICATION” mà không cần bất kỳ tương tác người dùng nào.

Hacker kiếm được 115.000 USD chỉ trong 10 ngày
Hacker kiếm được 115.000 USD chỉ trong 10 ngày

Tiếp đó, chiến dịch malware sẽ gửi một phần mềm quảng cáo tới tất cả các thiết bị bị nhiễm. Phần mềm quảng cáo này sẽ hiển thị trên màn hình chính của thiết bị như cửa sổ pop-up hoặc toàn màn hình, qua đó tạo ra doanh thu quảng cáo lừa đảo.

Các nhà nghiên cứu cho biết: “Trong 10 ngày vừa qua, RottenSys là một mạng lưới quảng cáo cực kỳ rộng lớn. Chỉ trong 10 ngày, số lần hiện thị quảng cáo lên đến 13.250.756 (được gọi là impressions in the ad industry) và 548.822 lần trong số đó đã được dịch sang các lượt click quảng cáo.”

Theo các nhà nghiên cứu của CheckPoint, phần mềm độc hại này đã kiếm cho các tác giả của nó hơn 115.000 USD trong 10 ngày vừa qua, nhưng những kẻ tấn công có dự định “gây ra nhiều thiệt hại nặng nề hơn là chỉ đơn giản gửi đến những những quảng cáo”.

Vì RottenSys đã được thiết kế để tải xuống và cài đặt bất kỳ thành phần mới từ máy chủ C & C nên kẻ tấn công có thể dễ dàng vũ khí hóa hoặc kiểm soát hàng triệu thiết bị bị nhiễm.

Cuộc điều tra cũng tiết lộ một số bằng chứng cho thấy các kẻ tấn công bằng RottenSys đã bắt đầu chuyển hàng triệu thiết bị bị nhiễm thành mạng botnet khổng lồ.

Một số thiết bị bị nhiễm được tìm thấy cài đặt thành phần RottenSys mới, nó cho phép kẻ tấn công có khả năng sâu rộng hơn, bao gồm bí mật cài đặt ứng dụng bổ sung và tự động hóa UI.

Các nhà nghiên cứu lưu ý rằng: “Có một điều thú vị đó là một phần của cơ chế kiểm soát botnet được thực hiện theo các kịch bản Lua. Nếu không có sự can thiệp, kẻ tấn công có thể sử dụng lại kênh phân phối malware hiện tại và nhanh chóng nắm quyền kiểm soát hàng triệu thiết bị.”

Đây không phải là lần đầu tiên các nhà nghiên cứu của CheckPoint tìm ra những thương hiệu hàng đầu bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng.

Năm ngoái, công ty đã phát hiện ra dòng điện thoại thông minh thuộc Samsung, LG, Xiaomi, Asus, Nexus, Oppo và Lenovo đã bị nhiễm hai malware cài sẵn (Loki Trojan và SLocker mobile ransomware) được thiết kế để theo dõi người dùng.

Làm thế nào để phát hiện và loại bỏ malware cài sẵn trên Android?

Để kiểm tra xem thiết bị của bạn có bị nhiễm phần mềm độc hại này hay không, hãy đi tới phần cài đặt hệ thống Android → Trình quản lý ứng dụng và sau đó tìm tên gói phần mềm độc hại sau đây:

  • android.yellowcalendarz (每日黄历)
  • changmi.launcher (畅米桌面)
  • android.services.securewifi (系统WIFI服务)
  • system.service.zdsgt

Nếu tên của bất kỳ gói phần mềm độc hại nào bên trên nằm trong danh sách các ứng dụng đã cài đặt của bạn, chỉ cần gỡ cài đặt.